:
#ClaudeCode500KCodeLeak
El 31 de marzo de 2026, Anthropic expuso involuntariamente más de 512,000 líneas de su código propietario en TypeScript al internet público.
La causa no fue sofisticada. Fue operativa.
Un archivo .map — un artefacto de depuración utilizado para reconstruir código minificado — no fue excluido mediante .npmignore durante una actualización rutinaria del paquete npm de Claude Code. En entornos de producción, los mapas de origen nunca se envían. Este sí.
El archivo era accesible a través de un enlace a un bucket de Cloudflare R2 incrustado en los metadatos del paquete. En pocas horas, el investigador de seguridad Chaofan Shou lo identificó y compartió. La publicación alcanzó decenas de millones. Miles de desarrolladores bifurcaron el repositorio antes de que comenzaran los esfuerzos de eliminación.
Para cuando Anthropic eliminó miles de copias de GitHub, el código ya había sido archivado, replicado y distribuido en jurisdicciones más allá de la aplicación efectiva de la ley. En ese momento, ya no era posible contenerlo.
La historia más importante no es la filtración en sí, sino lo que reveló.
El código expuesto confirma que Claude Code funciona como un agente basado en CLI construido en TypeScript, que corre en Bun y se renderiza con React-Ink. Eso era de esperar. Lo que no era visible anteriormente era la capa de control interno.
Una característica, etiquetada como “Undercover Mode” y marcada como crítica, está diseñada para evitar que el modelo exponga nombres internos de proyectos e infraestructura al interactuar en entornos de código abierto. Su presencia destaca un enfoque deliberado en la seguridad de los prompts y la divulgación controlada. Su exposición resalta los límites de ese control.
La base de código hace referencia a aproximadamente 44 banderas de características, incluyendo un demonio de fondo no lanzado llamado KAIROS y variantes internas del modelo como “Capybara,” que se cree corresponden a una iteración Claude 4.6. Cadenas adicionales sugieren un desarrollo en curso de variantes más nuevas de Opus. Ninguna de esta información estaba destinada a ser visible públicamente.
Más importante aún es la arquitectura en sí.
El sistema de memoria sigue un diseño de tres capas: un archivo de índice central, módulos específicos por tema cargados bajo demanda y transcripciones completas de sesiones retenidas para recuperación semántica. Esto refleja una decisión de diseño clara hacia la carga perezosa del contexto en lugar de maximizar el uso de ventanas activas — una optimización que reduce la presión de tokens y mejora la escalabilidad.
El marco del agente usa un modelo de bifurcación y unión basado en la herencia de caché KV. Los subagentes reciben el estado contextual completo sin recomputación, permitiendo una paralelización eficiente. Esto no es un detalle trivial de implementación; representa meses de diseño de infraestructura, ahora efectivamente documentados.
La respuesta de Anthropic, entregada por el ingeniero Boris Cherny, atribuyó el incidente a un paso de despliegue omitido. La compañía ha implementado desde entonces verificaciones automatizadas, incluyendo pasos de verificación asistidos por el mismo Claude. Lo importante es que no se expuso ningún dato de cliente. La filtración se limitó a la arquitectura interna.
Aún así, las implicaciones comerciales son significativas.
Se estima que Claude Code genera aproximadamente 2.500 millones de dólares en ingresos recurrentes anuales, con la mayoría proveniente de clientes empresariales. Esos clientes no solo compran capacidad — también compran confianza en los límites de seguridad del sistema y en su diseño propietario.
Esa confianza ahora es estructuralmente más débil.
No porque el sistema esté comprometido, sino porque su lógica interna ya no es opaca. Las superficies de ataque son más fáciles de estudiar cuando su estructura es visible. Los mecanismos defensivos son más fáciles de sondear cuando se conocen sus condiciones.
El momento amplificó el impacto. El mismo día, se filtró otra brecha de datos de 4TB de la plataforma de reclutamiento de IA Mercor. La superposición diluyó la atención, pero no reduce la importancia de ninguno de los eventos.
Mientras tanto, el ecosistema de código abierto respondió de inmediato.
Dos proyectos surgieron en días. Uno es una reimplementación en Python en un entorno controlado, diseñada para replicar la funcionalidad sin usar el código original. El otro es una adaptación agnóstica al modelo que porta la arquitectura a múltiples backends de IA. Los enfoques en entorno controlado tienen precedentes legales establecidos, y si infringen aquí sigue siendo una pregunta abierta.
El problema más profundo no es la filtración en sí. Es el colapso de la asimetría de información.
Anthropic no solo perdió código. Perdió la ventaja de ser la única organización que ya había resuelto problemas específicos de ingeniería en el diseño de agentes — gestión de contexto bajo restricción, coordinación multiagente y mecanismos de divulgación controlada.
Esas soluciones ahora son visibles.
La pregunta que queda es dónde existe realmente la muralla protectora.
Si la ventaja radica principalmente en la calidad del modelo, el daño está contenido. Los modelos no pueden ser reverse-engineered desde una herramienta CLI. Si la ventaja está en las decisiones de ingeniería acumuladas en la capa de agentes, el impacto será más duradero.
La realidad probablemente sea una combinación de ambas.
Cuánto importe esto se aclarará en los próximos doce meses.
El 31 de marzo de 2026, Anthropic expuso involuntariamente más de 512,000 líneas de su código propietario en TypeScript al internet público.
La causa no fue sofisticada. Fue operativa.
Un archivo .map — un artefacto de depuración utilizado para reconstruir código minificado — no fue excluido mediante .npmignore durante una actualización rutinaria del paquete npm de Claude Code. En entornos de producción, los mapas de origen nunca se envían. Este sí.
El archivo era accesible a través de un enlace a un bucket de Cloudflare R2 incrustado en los metadatos del paquete. En pocas horas, el investigador de seguridad Chaofan Shou lo identificó y compartió. La publicación alcanzó decenas de millones. Miles de desarrolladores bifurcaron el repositorio antes de que comenzaran los esfuerzos de eliminación.
Para cuando Anthropic eliminó miles de copias de GitHub, el código ya había sido archivado, replicado y distribuido en jurisdicciones más allá de la aplicación efectiva de la ley. En ese momento, ya no era posible contenerlo.
La historia más importante no es la filtración en sí, sino lo que reveló.
El código expuesto confirma que Claude Code funciona como un agente basado en CLI construido en TypeScript, que corre en Bun y se renderiza con React-Ink. Eso era de esperar. Lo que no era visible anteriormente era la capa de control interno.
Una característica, etiquetada como “Undercover Mode” y marcada como crítica, está diseñada para evitar que el modelo exponga nombres internos de proyectos e infraestructura al interactuar en entornos de código abierto. Su presencia destaca un enfoque deliberado en la seguridad de los prompts y la divulgación controlada. Su exposición resalta los límites de ese control.
La base de código hace referencia a aproximadamente 44 banderas de características, incluyendo un demonio de fondo no lanzado llamado KAIROS y variantes internas del modelo como “Capybara,” que se cree corresponden a una iteración Claude 4.6. Cadenas adicionales sugieren un desarrollo en curso de variantes más nuevas de Opus. Ninguna de esta información estaba destinada a ser visible públicamente.
Más importante aún es la arquitectura en sí.
El sistema de memoria sigue un diseño de tres capas: un archivo de índice central, módulos específicos por tema cargados bajo demanda y transcripciones completas de sesiones retenidas para recuperación semántica. Esto refleja una decisión de diseño clara hacia la carga perezosa del contexto en lugar de maximizar el uso de ventanas activas — una optimización que reduce la presión de tokens y mejora la escalabilidad.
El marco del agente usa un modelo de bifurcación y unión basado en la herencia de caché KV. Los subagentes reciben el estado contextual completo sin recomputación, permitiendo una paralelización eficiente. Esto no es un detalle trivial de implementación; representa meses de diseño de infraestructura, ahora efectivamente documentados.
La respuesta de Anthropic, entregada por el ingeniero Boris Cherny, atribuyó el incidente a un paso de despliegue omitido. La compañía ha implementado desde entonces verificaciones automatizadas, incluyendo pasos de verificación asistidos por el mismo Claude. Lo importante es que no se expuso ningún dato de cliente. La filtración se limitó a la arquitectura interna.
Aún así, las implicaciones comerciales son significativas.
Se estima que Claude Code genera aproximadamente 2.500 millones de dólares en ingresos recurrentes anuales, con la mayoría proveniente de clientes empresariales. Esos clientes no solo compran capacidad — también compran confianza en los límites de seguridad del sistema y en su diseño propietario.
Esa confianza ahora es estructuralmente más débil.
No porque el sistema esté comprometido, sino porque su lógica interna ya no es opaca. Las superficies de ataque son más fáciles de estudiar cuando su estructura es visible. Los mecanismos defensivos son más fáciles de sondear cuando se conocen sus condiciones.
El momento amplificó el impacto. El mismo día, se filtró otra brecha de datos de 4TB de la plataforma de reclutamiento de IA Mercor. La superposición diluyó la atención, pero no reduce la importancia de ninguno de los eventos.
Mientras tanto, el ecosistema de código abierto respondió de inmediato.
Dos proyectos surgieron en días. Uno es una reimplementación en Python en un entorno controlado, diseñada para replicar la funcionalidad sin usar el código original. El otro es una adaptación agnóstica al modelo que porta la arquitectura a múltiples backends de IA. Los enfoques en entorno controlado tienen precedentes legales establecidos, y si infringen aquí sigue siendo una pregunta abierta.
El problema más profundo no es la filtración en sí. Es el colapso de la asimetría de información.
Anthropic no solo perdió código. Perdió la ventaja de ser la única organización que ya había resuelto problemas específicos de ingeniería en el diseño de agentes — gestión de contexto bajo restricción, coordinación multiagente y mecanismos de divulgación controlada.
Esas soluciones ahora son visibles.
La pregunta que queda es dónde existe realmente la muralla protectora.
Si la ventaja radica principalmente en la calidad del modelo, el daño está contenido. Los modelos no pueden ser reverse-engineered desde una herramienta CLI. Si la ventaja está en las decisiones de ingeniería acumuladas en la capa de agentes, el impacto será más duradero.
La realidad probablemente sea una combinación de ambas.
Cuánto importe esto se aclarará en los próximos doce meses.
